Passer outre un système de protection censé empêcher l'accès à un compte est punissable même en connaissant le mot de passe
Dans un arrêt 6B_1207/2018 du 17 mai 2019, destiné la publication au recueil des ATF, le Tribunal fédéral (TF) a dû analyser la question de savoir si le fait de trouver par hasard le mot de passe permettant d’accéder à un compte e-mail puis d’utiliser ledit mot de passe pour accéder au compte en question est punissable en vertu de l’article 143bis du Code pénal (CP).
Quiconque s’introduit sans droit, au moyen d’un dispositif de transmission de données, dans un système informatique appartenant à autrui et spécialement protégé contre tout accès de sa part est, sur plainte, puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire.
Art. 143bis al. 1 CP
Pour une explication détaillée sur cette disposition, voir cet article.
Faits
Après s’être séparée de son mari, l’ex-femme avait accédé à de multiples reprises au compte courriel de ce dernier. Elle en avait trouvé par hasard le mot de passe sur une carte qu’il avait laissée sur un bureau dans l’ancien appartement conjugal. Elle s’était trouvée en possession du mot de passe sans la moindre manœuvre frauduleuse de sa part et soutenait dès lors que son comportement n’était pas punissable.
Décision
Dans un (court) considérant 2.2.2, le TF rappelle que l’acte d’intrusion dans le système informatique décrit le fait de surmonter des barrières à l’accès aux données, tels que les codes ou le chiffrement, au moyen de techniques de communication qui sont destinées à tenir le délinquant à l’écart du système. L’utilisation d’un code d’accès ou d’un mot de passe est considérée comme une protection suffisante au sens de l’art. 143bis CP. La manière dont la sécurité électronique est désactivée ou contournée n’a pas d’importance. En tant qu’attaque, toute action est suffisante, comme s’il s’agissait d’un délit d’intrusion au sens de l’art. 186 CP (qui réprime la violation de domicile, ndr), tant qu’elle permet de désactiver la sécurité correspondante sans nécessiter un temps ou un effort technique particulier.
Le TF estime donc que l’ex-femme a pénétré dans un compte e-mail appartenant à un tiers en utilisant le mot de passe correspondant, compte qu’elle n’était pas autorisée à utiliser. Ce faisant, elle a contourné la sécurité électronique et a surmonté les obstacles à l’accès au compte. Le fait qu’elle n’ait pas obtenu le mot de passe par une action active visant à surmonter les obstacles à l’accès au compte, mais qu’elle l’ait trouvé par hasard dans l’ancien bureau commun, n’y change rien.
Commentaire
Le TF clarifie (enfin) que la manière dont on obtient le mot de passe pour accéder à un compte ou système informatique de façon non autorisée n’est pas pertinent.
L’art. 143bis CP couvre donc également les cas où le délinquant obtient un code d’accès d’un tiers. C’est la même chose que dans les cas où la personne indélicate utilise la tromperie ou la ruse, le TF donnant d’ailleurs l’exemple d’une réponse correcte donnée à la “question secrète” connue du titulaire du compte, ou celui de la réinitialisation du mot de passe au moyen de l’envoi d’un nouveau mot de passe.
Notre Haute Cour envoie un signal bienvenu : le fait qu’on dispose du moyen de contourner les sécurités électroniques d’un système informatique (comme un compte e-mail) ne signifie pas qu’on peut y accéder si l’ayant-droit n’a pas donné son accord.
Il devrait aller de soit que ce qui est valable pour un compte e-mail l’est également pour un compte de réseaux sociaux, un compte professionnel sur le lieu de travail, et tout autre compte ou système informatique.